公安网络工程设计

【最新卓越管理方案您可自由编思】

（建筑施工；为；米；千米;

设计）公安网络工程设计

2020年4月

多年的企业咨询顾问经验，经过实战验证可以落地执行的卓越管理方案，值得您下载拥有!

公安网络工程设计

金盾工程

启明星展7鱼〉

概述

这一部分主要说明省市公安信息系统安全建设的基本内容、设计目标、设计原则。

1.1省市公安信息系统安全建设基本内容

省市公安信息系统的安全建设的基本内容应当包括：

1、省市公安信息系统自身的安全建设；

2、公安部对省市公共网络安全的监察工作；

1.1.1公安信息系统自身的安全建设

不同的行业和用户对信息系统安全建设的要求建筑施工；为；米；千米；有

差别的，建设的重点可能不同。

公安全信息系统的安全技术概念：即承认信息系统安全的脆弱性，正视对信息系统安全

的威胁，在尽可能的加强防护的能力的同时，要加强信息系统安全的检测、管理、监控和处

理能力，落实对信息系统安全事件的快速反应能力，建立对信息犯罪的打击的威慑力量。信

息系统安全不仅建筑施工；为；米；千米；定性的，同时还建筑施工；为；米；千米；定量

的，使之在日常业务工作中建筑施工；为；米；千米；可测评的。我们称这种安全模型为PDR

安全模型(P:Protection,D:Detection,R:Reaction\从防护的角度看,强调公安信

息系统安全的可生存性、行为和信息数据的完整性、信息的保密性，实施公共密钥基础设施

(PKI1实施本地可信备份和异地可信恢复系统建设。从检测的角度看，消除系统和管理漏

洞、实施对非法入侵和黑客攻击的安全监控。从安全处理看，强化应急处理和快速反应能力。

这显然比一般政府和企业只注重信息的完整性和保密性的安全概念要高得多。

1.1.2公安部对省市公共网络安全的监察工作

为了提高整个省市信息系统安全的在一体化公安信息化平台或公共操作环境COE上实

施全局和局域的PDR的快速反应的综合能力，建立公安信息系统的两极（部、省）网络监

控中心建筑施工；为；米；千米；十分必要的。网络监控中心负责处理整个信息系统网络范

围内的安全问题及网络对外连接、通信等方面的安全问题，打击信息安全犯罪。在自主和可

控的原则指导下，开发公安信息安全监控和攻击报警系统，具有与国内外信息犯罪组织进行

软件对抗的能力。另外，对公安信息系统的安全性、可生存性、服务完整性实施全局管理。

信息系统安全监察工作主要处理、打击信息犯罪，如：非法侵入通讯和计算机网络、传播计

算机病毒、对计算机设施发起拒绝服务攻击、发布和传播非法的反动、色情信息等等。

信息系统安全监察工作的建设，在"金盾工程"实施期间，其内容应当包括：建立全

省连网的统一部署的各级信息安全监控中心、建设信息系统安全监控系统和攻击发现报警系

统、培养一支政治合格、技术过硬的信息系统安全警察部队等等。

1.2设计目标

宏观上讲，"金盾工程"安全保障体系的设计目标体现在两个方面：能够抵御业务信息

化所带来的各种威胁，具备一定的容错、容灾能力，有效地防止内部人员的故意犯罪，抵御

来自内部与外部、针对各种对象的各种方式的攻击，防止有害信息的传播。能够提供严格的

控制能力和高效的查证等手段，实现比现有工作模式更加安全的工作与管理机制。

具体地说，"金盾工程"安全保障体系的设计能够满足上述安全需求，抵御上述风险：

适应公安系统分级、多管理域的管理模式，针对种类繁多、多种密级的信息保密需

求，提供全网统一的身份认证和访问控制手段，防止内部人员（合法用户）滥用权力，有意

犯罪。

抵御来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击，

保证网络和系统服务的可用性，保证信息的保密性、完整性。

提供一定的容错能力，在系统软硬件故障时提供数据恢复手段，保证系统的可用性。

防止有害信息（如病毒）的传播等。

提供一定的容灾能力，在自然灾害或人为的物理破坏（如战争）发生时，提供有效

的灾难恢复机制，保证网络的可用性。

1.3设计原则

"金盾工程"安全保障体系涉及到整个工程的各个层次，网络和信息安全方案的设计因

该遵循以下原则：

整体安全。公安系统信息化建筑施工；为；米；千米；一个复杂的系统工程，对安全的需求

建筑施工；为；米；千米；任何一种单元技术都无法解决的，而建筑施工；为；米；干

米；必须从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，

综合使用各层次的各种安全手段，为信息网络和公安业务系统提供全方位安全服务。

有效管理。没有有效的安全管理（如密钥定期更新、防火墙监控、审计日志的分析等等），

就很难保证各种安全机制的有效性。"金盾工程"网络信息系统所提供的各种安全服务

涉及到各个层次、多个实体和各种安全技术，只有有效的安全管理才能保证这些安全控

制机制真正有效地发挥作用。

合理折衷。在"金盾工程”中，单纯考虑安全而不惜一切代价建筑施工；为；米；千米；不

合理的。安全与花费、系统性能、易用性、管理的复杂性建筑施工；为；米；千米；存

在矛盾内容的，安全保障体系的设计应该在以上四个方面找到一个合理的折衷点，在可

接受的风险范围内，以最小的投资换取最大的安全性，同时不因性能开销和使用、管理

的复杂而影响整个"金盾工程”的快速反应和高效运行的总体目标。

适应一致。安全管理模式应该尽量与公安业务需求相一致，以便于实施和管理。既要保证公

安系统上下级之间的统一领导、统一管理，同时又给基层单位以足够的灵活性，以保障

公安业务系统的高效运行。

责权分明。采用分层、分级管理的模式：一方面，公安的各级系统可以分为三层：信息网络、

计算机系统和应用系统；另一方面，网络和应用系统都有部、省、市等的分级结构。各

级网络管理中心负责网络的安全可靠运行，为应用信息系统提供安全可靠的网络服务，

各级信息中心负责计算机系统和应用系统的安全管理,为公安系统具体的业务服务。

综合治理。"金盾工程”建筑施工；为；米；千米；社会大环境下的一个系统工程，信息网

络的安全同样也绝不仅仅建筑施工；为；米；千米；一个技术问题，各种安全技术应该

与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会系统

工程的角度综合考虑。

2安全需求

识别出公安系统的安全需求建筑施工；为；米；千米；很重要的。安全需求有三个主要

来源。

第一个来源建筑施工；为；米；千米；对公安系统面临的风险的评估。经过评估风险后,

便可以找出对资产安全的威胁，对漏洞及其出现的可能性以及造成多大损失有个估计。

第二个来源建筑施工；为；米；千米；公安系统与合作伙伴、供应商及服务提供者共同

遵守的法律、法令、规定及合约条文的要求。

第三个来源建筑施工；为；米；千米；公安系统为业务正常运作所特别制定的原则、目

标及信息处理的规定。

2.1风险评估

2.1.1漏洞分析

由于公安系统肩负省市安全和社会稳定的重要职责，另外由于存在政治体制、意识形态

等方面的因素，很容易成为国内外敌对分子攻击的对象。根据公用互联网络和某些行业专用

网（如银行系统）风险现状的调查结果，结合公安系统业务的多种信息种类、不同开放程度

和安全级别等情况，"金盾工程”的网络和信息系统面临的威胁有以下几个方面：

公安系统信息量大，种类繁多，应用复杂，不同种类（如治安、交管、刑侦等X不同

级别（如部、省、市）的信息对不同的用户有不同程度的保密需求（无密级、秘密、机密、

绝密I

数据分布于全国四百多个市级管理域内，使得保障信息保密性的设计与实现变得异常复

杂。要求系统具有统一的身份认证机制，适应公安系统分级、多管理域的管理模式。

内部人员（合法用户）滥用权力，有意犯罪，越权访问机密信息，或者恶意篡改数据。

来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击，造成网络

或系统服务不可用、信息泄密、数据被篡改等破坏。

有害信息（如病毒）的传播等。

系统软硬件故障造成的服务不可用或者数据丢失。

自然灾害或战争的物理破坏。

漏洞分析可以采用静态扫描和动态渗透两种方法。

2.1.2法律和合同

国家对公安系统的法律要求，如涉密部门的网络必须实现物理隔离等，与信息产品厂商

签订的保密合同等。

2.1.3系统规定

公安系统的内部规定，如密码系统只能使用具有自主知识产权的产品、不能使用自己的

计算机处理秘密资料等。

2.2需求总结

通过以上分析可以总结出如下安全需求：

物理安全：主要指无线、卫星、网络和计算机相关设备、线路等硬件所处的物理环境方

面的安全水平需要进一步提高，如防高低温、防潮湿、防火、防水、防电磁干扰（电磁干扰、

脉冲炸弹等I防尘、防震、防电磁辐射、防窃听（搭线、接收电磁波）等；

通信和计算机网络安全：网络系统的协议、应用和数据的机密性、完整性和可用性容易

受到来源于网络的攻击，如DDOS攻击等需要进一步提高安全保护的水平；

系统安全：操作系统的安全等级不够，配置不当，漏洞很多；

应用安全：数据和应用系统没有或者很少考虑安全方面，安全问题很多；

信息安全：网络上的非法信息很多，没有得到很好控制。

3安全体系

"金盾工程”对安全的需求建筑施工；为；米；千米；多方面的，任何一种单独的安全

技术都无法解决。安全方案的设计必须以科学的全方位的安全体系模型为依据，保障"金盾

工程"整个安全体系的完备性和合理性。信息网络安全体系结构的研究表明，要想从一个角

度得出整个信息系统完整的安全模型建筑施工；为；米；千米很困难的。我们采用COE+PDR

的安全框架建筑施工；为；米；千米；个比较合理的计算机网络安全模型，我们在此基础上

提出更加适合"金盾工程"的信息安全体系结构模型。该模型由安全服务、协议层次和系统、

单元三个层面描述，在每个层面上，都包含有关保障方面的内容。

安全服务取自于国际标准化组织制订的安全体系结构模型[ISO7498-2],我们在

[ISO7498-2]基础上增加了审计性、可用性、生存性服务。

系统层次的划分给出了信息系统结构的层次模型，添加了用户层，即用户开发的应用。

系统、单元给出了信息网络的系统或者单元。系统建筑施工；为；米；千米；指通信系

统（如电话系统、会议电视系统、无线系统、卫星系统等I计算机网络系统和人员系统。

单元建筑施工；为；米；千米；指通讯卫星、光纤、网卡、交换机、路由器等。

保障包括所有协议层次、所有系统、单元和安全服务的保障，涉及两方面的内容：各种

技术的保障（如密钥管理）和制度保障，制度保障主要建筑施工；为；米；千米；针对人员

系统的。

3.1安全服务

国际标准化组织所定义的安全体系结构中包括五组重要的安全服务，这些安全服务反映

了信息系统的安全需求。这五种服务并不建筑施工；为；米；千米；相互独立的，而且不同

的应用环境有不同的程度的要求，我们在图6.2中给出了主要安全服务之间的逻辑关系。在

"金盾工程"中，最为重要的安全服务建筑施工；为；米；千米；实体标识、认证、访问控

制。

图6.2各种安全服务之间的逻辑关系

在不同的协议层次，实体都有主体和客体之分：在网络层，对主体和资源的识别以主机

或协议端口为粒度，认证服务主要指主机地址的认证，网络层的访问控制主要指防火墙等过

滤机制；在应用系统中，主体的识别以用户为粒度，客体建筑施工；为；米；千米；业务信

息资源，认证建筑施工；为；米；千米；指用户身份认证和应用服务的认证，访问控制的粒

度可以具体到某种操作，如对数据项的追加、修改和删除。在开放式应用环境中，主体与客

体的双向认证非常重要。

从这一模型可以得出如下结论：对客体的访问控制建筑施工；为；米；千米；安全保密

的核心，而对实体的（用户、主机、服务）认证建筑施工；为；米；千米；访问控制的前提。

"金盾工程"应用系统中对实体的认证和访问控制有更高的要求。

"金盾工程"中，不同的应用对上述安全服务需求不同。可以分成以下几类：

向社会发布信息的应用系统。首先要求保证数据的完整性，防止非授权用户篡改数据；其次

要保证系统的高度可用性，提供持续的、有效的服务；全社会都可以访问，无需认证；

无密级信息，不需要保密服务；一定的审计手段，以防止万一数据完整性被破坏后的数

据恢复和责任追查。

对公安系统内部开放的信息和应用系统。提供一定强度的认证手段和访问控制能力，保证系

统和数据的完整性和一定的可用性；提供完善的审计机制，以便检查系统的使用情况和

责任追查。

对业务部门内部使用的涉密系统。

除上述安全服务以外还要提供信息保密服务，实现多级安全访问控制机制和数据保密机

制。对系统的使用有完善的审计机制，机密通信有第三方公证，以防抵赖。

3.2协议层次

系统都建筑施工；为；米；千米；有层次的，拿计算机网来说，从网络体系结构的协议

层次角度考察安全体系结构，我们得到了网络安全的协议层次模型，如图6.3所示。图中实

现上述安全服务的各种安全机制，并给出了它们在协议层次中的位置。该模型与OSI安全体

系结构［OSI-7498-2］模型一致。

图6.3计算机网络协议层次模型

3.3系统、单元

在工程实施阶段，各种安全服务、各协议的安全机制最终要落实到系统或者单元上，所

以要针对系统或单元按照结构层次逐个设计安全保护方案，如通讯网保护方案、计算机网保

护方案、无线网保护方案、卫星网保护方案、移动网保护方案、电话网和会议电视网保护方

案等，在以后的各个部分详细描述。

如图6.4所示,从单元角度来看，"金盾工程”计算机安全体系结构可以分成以下层次:

物理环境安全，主要建筑施工；为；米；千米；物理环境下端系统的自身的安全。

网络平台安全，即通信和计算机网络安全，一则保障网络自身的安全可靠运行，保证网络的

可用性；二则为业务数据提供完整性、保密性的安全服务。

系统平台和应用系统安全，为某种或多种应用提供用户认证、数据保密性、完整性以及授权

与访问控制服务等。

应用系统安全

安

技

制

全

度

系统平台安全术

政

保

保

策

障

网络平台安全障

物理环境安全

单元安全保障

图6.4系统、单元安全模型

其中，安全政策建筑施工；为；米；千米；针对安全风险而制定的安全原则、安全目标

和需要遵循的各项安全管理制度等，建筑施工；为；米；千米；安全方案设计的指南和方向。

安全政策建筑施工；为；米；千米；有一定的生命周期的，一般要经历风险分析，根据风险

分析的结果，制定安全政策，根据安全政策设计安全方案，安全方案包括安全技术实现和安

全保障的实施，安全保障包括技术保障和制度保障。

安全保障建筑施工；为；米；千米；各项安全技术能够有效发挥作用的重要保证。安全

保障的内容可以分成技术方面和制度方面。技术的保障包括安全服务的激活和关闭、安全相

关参数设置、分发与更新（如密钥管理等）、安全事件信息的收集、分析与告警等。制度的

保障如人员履历和信誉审查、安全责任的分配和监督、安全事件的报告程序、安全培训I、安

全违规处理等。

本章以后的部分主要从“金盾工程"所涉及到的系统单元的角度出发，逐个描述各个子

系统的安全方案，综合考虑每个系统单元在各个层次需要的各种安全服务（功能），然后考

虑这些单元系统之间的逻辑关系，提供全面的、合理的的安全服务和保障措施。

3.4方案简介

省市公安系统安全建设的方案设计包括物理安全、通讯安全、电话和传真安全、会议电

视安全、计算机网络安全等，具体的介绍见以下几节。

4物理安全

4.1概述

近年来，计算机信息网络及应用系统在全世界的迅速推广和普及使人们获取、交流和处

理信息的手段发生了巨大的变化，深刻影响着人们的交流、工作、学习、生活和娱乐的方式,

因此计算机网络安全问题也越来越突出。火灾、地震、海啸、雷电、电磁窃听和干扰等都严

重危害网络安全，因此，计算机网络的物理安全保护也就必须被提到议事日程上来。

我国公安部门的信息化需要为计算机网络安全物理保护。

4.2需求

物理安全建筑施工；为；米；千米；指设备所处的物理环境的安全，建筑施工；为；米；

千米；整个网络系统安全运行的前提。物理安全需要防范的风险主要有：

不合适的温度、湿度、尘土，地震、水灾、火灾等；

电源故障；

设备被盗、被毁；

信号窃听。

4.3方案

物理安全主要在环境安全、设备安全和介质安全三个方面采取保护措施,如门控系统、

监控报警系统和区域保护措施等。具体要求见省市保密指南BMZZ1-2000《涉及省市秘密

的计算机信息系统保密技术要求》第3.1条的规定。

（1）环境安全

环境的安全主要建筑施工；为；米；千米；指机房环境的安全，包括：

机房选址。要注意选择安全的地点，具有较强的防灾害（雷击、暴雨、电压、盗窃、水灾、

火灾、地震等）、防干扰（电磁干扰，静电等）能力。

机房环境。建议按照省市和规划局有关标准建设机房，安装必要的设备以便达到合适的温度、

湿度，能够防尘、防静电、防水、防雷击、防电磁辐射；采用不间断电源，装备备用发

电机。

出入控制。机房要采取适当的出入控制措施，如机房加锁、出入登记、采用电子门禁系统等。

机房人员。机房开辟专门的饮水间和娱乐间，工作人员不得在工作间吃喝、吸烟、打闹、打

扑克、玩游戏等。

区域保护和灾难保护；参见省市标准GB50173-93《电子计算机机房设计规范》、国标

GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。

(2)设备安全

主要指两类设备：网络专用设备(路由器，交换机等)和主机设备(终端计算机，服务

器，防火墙等)o设备安全主要包括设备的防盗、防电磁辐射、防止搭线窃听、抗电磁干扰

及电源保护等，•设备冗余备份；严格管理、提高员工的整体安全意识。设备的安全性体现在：

设备可靠性。采用高质量、高可靠的设备。如有必要，对关键的设备要在合适时候更换性能

更好、功能更全、运行更稳定的产品。

设备环境。设备存放环境如温度、湿度等符合设备要求。

设备备份。重要设备有备份系统，例如硬盘镜像、双机备份、双链路等。

设备安装。设备的安装要坚固耐用，尽量隔离存放，做到最终用户难以私自安装、拆卸设备

的配件，最好象自动柜员机一样，用户能够接触的只有键盘和屏幕。

(3)介质安全

包括数据安全及存储数据的介质本身的安全。显然，为保证网络系统的物理安全，除

在网络规划和场地、环境等方面满足要求之外，还要防止信息在处理、显示、传输时被窃听。

通过接收计算机系统的电磁辐射和发射的信号可以截获信息。在物理上采取一定的防护措

施，可以减少这方面的损失。

防范措施主要在三个方面：

为提高机房和设备的屏蔽效能，采取综合措施隔绝与外界的声、光、电磁信号联系，连接中

均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、

波导，门的关起等。

对本地网、局域网传输线路采取辐射抑制措施。由于电缆传输信号时不可避免地产生信号辐

射现象，因此建议采光缆传输的方式，在Modem出来的设备用光电转换接口，用光缆

接出屏蔽室外进行传输。无线传输一定要采用加密技术。

对终端设备辐射的防范。终端如CRT显示器，由于高电压的存在，有很强的信号辐射，但终

端的使用特点又决定了不宜采用屏蔽室的办法来防止辐射，故除在订购设备上尽量选取

低辐射产品外，目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取，集中

存放的终端也可考虑采用有窗子的装饰性屏蔽室，这种方法虽然降低了部份屏蔽效能，

但可大大改善工作环境，使人感到在普通机房内一样工作。

(4)电磁防护

计算机系统通过电磁泄漏会造成信息在空间上的扩散，采用专用接收设备可以远距离

接收还原信息，造成泄密。电磁泄漏发射防范措施主要在四个方面：

用屏蔽房间把网络信息设备与周围环境隔离，防止电磁波向屏蔽室外泄漏。屏蔽室适用于网

络中心机房及设备集中使用、处理绝密级信息的系统。

采用低辐射网络信息设备将电磁辐射减小到规定的强度，使窃听信息成为不可能。这种方法

适用于设备分散使用、处理绝密级信息的系统。

以电磁波的形式对网络信息设备电磁泄漏发射进行干扰，使窃听方不能提取信息。

网络传输采用光缆或屏蔽的传输线缆。

计算机电磁辐射泄密问题已经引起了各个省市的高度重视，要防止这些信息在空中传

播，必须采取防护和抑制电磁辐射泄密的专门技术措施，这方面的技术措施有：干扰技术、

屏蔽技术和Tempest技术。

(5)干扰技术

干扰技术又可分为白噪声干扰技术和相关干扰技术两种。白噪声干扰技术的原理建筑

施工；为；米；千米；使用白噪声干扰器发出强于计算机电磁辐射信号的白噪声，将电磁辐

射信号掩盖，起到阻碍和干扰接收的作用。这种方法有一定的作用，但由于要靠掩盖方式进

行干扰，所以发射的功率必须够强，而太强的白噪声功率会造成空间的电磁波污染；因此白

噪声干扰技术在使用上有一定的局限性和弱点。

相关干扰技术较之白噪声干扰技术建筑施工；为；米；千米；一种更为有效和可行的

干扰技术。相关干扰技术的原理建筑施工；为；米；千米；使用相关干扰器发出能自动跟踪

计算机电磁辐射信号的相关干扰信号，使电磁辐射信号被扰乱，起到乱数加密的效果，使接

收方接收到电磁辐射信号也无法解调出信号所携带的真实信息。

(6)屏蔽技术

屏蔽技术的原理建筑施工；为；米；千米；使用导电性能良好的金属网或金属板造成六

个面的屏蔽室或屏蔽笼将产生电磁辐射的计算机设备包围起来并且良好接地，抑制和阻挡电

磁波在空中传播。设计和安装良好的屏蔽室对电磁辐射的屏蔽效果比较好,能达到60~90db

以上。如美国研制的高性能的屏蔽室，其屏蔽效果对电场可达140db，对微波场可达120db,

对磁场可达妨碍屏蔽技术普遍应用的问题建筑施工；为；米；千米；屏蔽室的设计

100dbo

安装施工要求相当高，造价非常昂贵，T殳二、三十平方米场地的屏蔽室的造价即需几十至

上百万元。因此屏蔽技术较为适用于一些保密等级要求较高、较重要的大型计算机设备或多

台小型计算机集中放置的场合，如国防军事计算中心、大型的军事指挥所、情报机构的计算

中心等。

(7)防信息泄露技术(Tempest)

Tempest技术即低辐射技术。这种技术建筑施工；为；米；千米；在设计和生产计算

机设备时，就已对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取了防辐射

措施，把电磁辐射抑制到最低限度。生产和使用低辐射计算机设备建筑施工；为；米；千米；

防止计算机电磁辐射泄密的较为根本的防护措施。"Tempest”建筑施工；为；米；千米；

美国制定的一套保密标准，国外一些先进的工业省市对Tempest技术的应用非常重视，使

用在重要场合的计算机设备对辐射的要求都极为严格。具体泄漏发射防护的具体要求见省市

保密局指南BMZ-2000《涉及省市秘密的计算机信息系统保密技术要求》第5.6条的规定。

(8)加密技术

对通过无线、卫星、移动系统传输的信息采用加密技术防止窃听。

4.4论述

通过采用以上防护措施，可以在提高计算机网络的安全系数方面有很大帮助，使来自互

联网上攻击等人为因素的影响降至最低，同时也大大降低了诸如火灾、雷电、地震等非人为

因素对计算机网络安全的影响，从而使计算机网络安全得到根本保障。

5通信安全

5.1概述

公安机要通信系统包括公安机要通信网络平台和公安机要通信业务两方面的内容。

公安机要通信业务种类包括：机要电话、机要传真、机要数据、机要电视电话会议等。

公安机要通信网络平台主要使用公安通信网，在特殊情况下使用公安应急通信系统。公

安通信网建筑施工；为；米；千米；公安机关的通信基础设施，从传输业务角度可分为电话

网、无线网、卫星网，从传输方式上可分为有线网、无线网、卫星网。应急通信系统建筑施

工；为；米；千米；为了处理突发事件而临时启用的通信系统。图6.5描述了公安通信网（按

照业务种类来划分）的内容。

图6.5公安通信网（按照业务种类来划分）的内容

根据信息网络技术的发展趋势，公安部已经明确了电话网的总体建设思路，即模拟话路

向数字话路过渡；待全国计算机网建成后，逐步将电话网和计算机网合二为一，在IP融合

技术基础之上实现视讯、话音和数据的综合传输。因此，机要通信系统的建设必须符合这一

趋势。下图描述了电话网和计算机网逐渐融合后公安通信网（按照业务种类来划分）的内容。

机要通信系统和计算机业务系统的关系表：

计算机业务系统机要通信系统

业务内容主要运行公安各个业务系统，主要传输涉及机要内容的、纳

如人口、刑侦、缉毒、打拐等入机要管理的机要信息。

系统。还包括办公邮件等业

务。

通信手段建立在公安通信网的计算机建立在公安通信网（非计算机

网之上，目前主要建筑施工；网部分）之上，运行的建筑施

为；米；千米；IP业务。工；为；米；千米；话音、传

真、移动、数据、视讯等传统

通信业务。

涉密内容既有涉密信息，又有普通信息全部建筑施工；为；米；千米；

涉密信息（普密、核密）

发展趋势逐步普及目前有向IP业务过渡的趋势

（如IP电话等1

5.2需求

公安机要通信业务具有其特殊性：

业务种类多，涵盖话音、传真、数据、视讯等方面的机要业务。

业务信息全建筑施工；为；米；千米；涉密信息，密级包含普密和核密。

其承载网独立性较强，自成体系。

必须严格遵守省市的有关机要工作的规章制度。

具有严格的机要管理制度，完善的管理措施。

因此为了保障机要业务信息的安全，必须做到：

保障机要通信业务承载网的可靠安全。

保障机要信息在传输过程中的保密性和完整性。

用技术手段和管理手段相结合的措施。

技术上采用经省市主管部门审批的密码设备。

管理上遵照省市有关政策法规，根据公安部门机要工作的实际情况，制定相应的管理措施，

并严格贯彻执行。

5.3数据通信网安全保密设计

数据通信网采用信道加密技术。信道加密建筑施工；为；米；千米；指对传输中继线进

行加密。从整个公安有线电话网来看，级间干线传输信息量大，大部分建筑施工；为；米；

千米；长途线路，泄密很容易发生在这段线路上，而且一旦泄密事件发生影响的用户群也很

大，如果在这些中继信道添加信道保密机，就可以大大提高整个电话网的保密性。

在本次工程中，通信传输采用租用DDN链路复用成ATM的方式，故链路加密选用E1

群路加密设备。

5.3.1网络密码机。

如果采用ATM,FR信道来传电话信息，则可以采用ATM密码机、FR密码机实现骨干

信道的加密。ATM密码机采用密钥捷变技术实现ATM信元加密，不同的信元采用不同的密

钥，只对信元的净荷进行加密，信头以明文形式传递，能为ATM网络用户的数据、话音、

视频等业务提供安全保障。该产品属国内首创，密码算法通过省市主管部门审查批准，整机

安全性设计方案通过省市主管部门测试审查。接口方式为155.52M的SDH/SONET标准和

2.048M的E1标准，适用于集团跨区域宽带通信加密。FR密码机采用在线自动密钥分发，

通信时自动定时更换消息密钥，对当前的数据通信业务无任何影响，自动适应调整通道带宽，

满足突发业务需求，支持1024条虚电路，自适应CISCO,ANSI、CCITT等多种帧中继协

议。

5.3.2IP网络加密机。

若使用IP电话，可以采用IP层的密码机来实现IP电话的加密。网络密码机为用户提供

基于IPSEC的IP包机密性、完整性保护，接口为2个以太网卡接口（10M/100M自适应）,

1个RS-232串口，支持TCP/IP、UDP/IP通信协议，适应PSTN、卫星、X.25、FR、DDN

等多种信道，密码算法通过省市主管部门审查批准，整机安全性设计方案通过省市主管部门

测试审查。

6公安移动通信安全保密设计

公安移动通信网主要建筑施工；为；米；千米；指公安集群系统，话音业务建筑施工；

为；米；千米；移动网的主要业务。作为公安人员室外办案的主要工具，会有很多敏感信息

通过无线信道传送，因而需要提供公安集群系统加密的手段。

现阶段在公安集群系统中，大部分语音业务都建筑施工；为；米；千米；在

移动网内发生，但也有与有线网通信的需求。另外，集群系统中可能只有部分用

户需要加密功能。根据这种特征，我们给出了一个移动通信网的加密解决方案。

图6.9移动通信网的加密解决方案

基站内保留部分信道用做加密通信，并在相应位置为每一个这种信道配备保

密模块。与这部分信道相对应的移动终端为加密终端，加密终端呼叫后，控制信

道总建筑施工；为；米；千米；将其分配到加密信道上进行通信。保密通信的发

生应有如下几种情况：

1）当通信发生在同一移动区域内的两部加密终端之间时，两个终端之间建

筑施工；为；米；千米；端到端加密过程，此时基站只完成信号的转接，而不进

行加解密操作。

2）当加密终端与普通终端之间通信时，加密信号经过基站时被解密，从而

保证了明密终端之间的互通。

3）当加密终端希望与其它区域终端或有线网中电话进行通信时，加密信号

经过基站时被解密.此时只完成本段移动网的加密，其它线路段由另外的加密机

制解决。

这种方案能够完成移动网内的加密，不过它要求集群系统中的设备相对统

-,因为对终端和基站的加密都与设备本身情况有关.对于终端来说，终端本身

体积小，电源有限，保密模块的加入要考虑物理接口、形状、耗电等诸多因素.对

基站来说，要考虑保密模块与基站之间的控制问题.如果网络内不同厂家、型号

的设备多，就需要不同型号的保密机与之匹配，会增加很多投资。

6.1通过电话拨号进入网络的PC机

通过电话拨号进入网络的台式PC机，其安全保密配置与局域网中的PC基

本相同。但这类用户在进入业务系统之前首先必须通过接入网络的身份认证，因

此这类用户的客户端安全保密设施除了必须具有上节所述的功能外，还必须具有

网络安全接入的功能，并使用与业务安全保密同一硬件平台，从而进可能地降低

成本和方便管理，即用户须：

安全接入功能；

业务安全保密功能；

网络安全接入与业务安全保密共用硬件平台。

6.2通过电话拨号进入网络的便携式PC机

便携式PC的安全保密设施如下：

涉密类别安全保密安全保密设施安装电子身份证派向高一安全级升级

设施分发方法发方法方案

无密级普通用户口令通过软盘分发电子

（过渡）身份证、下载安全

软件

无密级普通用户软电子身通过光盘或网页自CA通过RA派可以将软的电子身

份证和软动下载发后通过软盘份证和秘密密钥导

件分发到IC卡或重新产

生证书；将软件和

读卡机或USB认

证盒派发到用户

IC卡认证USB认证将软件和USB认证CA通过RA派证书不必更换，要

及软件盒派发到用户发后通过IC卡将IC卡上的内容

分发导到PCMCIA卡；

将USB认证盒换

为PCMCIA加密

卡

认证并加密PCMCIA将软件和加密卡派CA通过RA派

加密卡及发安装到用户PC发后通过软盘

软件分发

由于便携式PC的易携带性，因此一个便携式PC很可能为多人所共用。在

这种情况下，为了仍能够区分不同用户的角色身份，客户端必须配置电子身份证

的导出导入工具，各人在使用前只要将其自己的电子身份证导入系统如PCMCIA

卡，访问时系统就能判别用户的身份并给予不同的权限。

为了实现便携式PC机随时随地接入网络和系统的需要，安全保密设施必须

同时实现安全接入和业务系统安全保密两个功能。

7计算机网络安全体系

计算机网络的安全体系建筑施工；为；米；千米；一个三级结构，主要包括以下子系统：

防火墙系统、入侵检测系统、漏洞扫描系统、网站保护系统、终端监控和保护系统、病毒防

护系统、异地备份中心，各个子系统的详细情况在以后几节描述，总体设计示意图如下，其中

安全控制中心负责入侵检测系统、病毒防护系统、漏洞扫描系统、终端监控系统、网站保护

系统的集中策略配置、安全事件库的及时更新等。

图6.3公安计算机网络安全设备部署图

7.1防火墙安全防护体系

7.1.1概述

防火墙建筑施工；为；米；千米；重要的网络安全设备，可以完成多种任务。

保护脆弱的服务。通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网

中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝

源路由和ICMP重定向封包。

控制对系统的访问。Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，

同时禁止访问另外的主机。例如，Firewall允许外部访问特定的MailServer和Web

Server.

集中的安全管理。Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规

则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如

在Firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。

外部用户也只需要经过防火墙的一次认证即可访问内部网。

增强保密性。使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和

DNSO

记录和统计网络利用数据以及非法使用数据。Firewall可以记录和统计通过Firewall的网

络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断

可能的攻击和探测。

策略执行。Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安

全取决于每台主机的用户。

7.1.2要求

(1)安全性：即建筑施工；为；米；千米；否通过了严格的测试。

(2)抗攻击能力：对典型攻击的防御能力

⑶性能：建筑施工；为；米；千米；否能够提供足够的网络吞吐能力

(4)自我完备能力：自身的安全性

⑸VPN支持

(6)鉴别和认证特性

(7)支持服务的类型和原理

(8)网络地址转换能力

(9)高扩展性

(10)远程管理

7.1.3方案和讨论

利用防火墙实现省级公安系统内部各级网络层次间的访问控制，各级公安系统的公开信

息发布平台与外部互连网的访问控制；公安系统与政府专网间的访问控制与隔离；实现公安

系统内部机关局域网内不同部门之间的隔离和访问控制；实现机关局域网内不同信任区之间

的隔离和访问控制；实现对公开服务器的安全保护以及对远程用户的安全认证与访问权限控

制；并且能够实现对专线资源的流量管理与控制和防攻击。

7.13.1省级公安系统内部各级层次间的隔离与访问。

省市公安部与各地市公安机关之间的隔离与访问控制。公安部防火墙系统安装在内部网与

连接一级网节点的边界路由器之间，配置如图6.10所示。防火墙的配置实现不同网

络之间的隔离和访问控制，其下属的各省级公安机关用户只能访问公安部某些指定的

服务；屏蔽内部网结构；对访问行为进行过滤、监控、记录，并进行安全审计。

图6.10防火墙系统配置

公安系统的网络节点之间的访问控制与其所辖的下级网络节点的隔离与访问控制。在省级

公安机关与其所辖的地市级公安机关之间安装防火墙，实现在二级之间的访问控制和

隔离。对进出防火墙的行为进行监控、过滤、强的审计；隐藏各网络内部网结构等。

公安机关二级网络节点与其所辖的三级网络节点的隔防与访问控制。这一配置与一级网

络节点与二级网络节点的配置相似。

公安机关局域网之间办公信息的流转控制。在公安系统广域网上使用基于广域网的OA系

统进行办公的流转。对于上级机关与其下级公安机关之间办公信息流转控制，主要通

过开发办公平台系统本身安全机制，提高OA系统的安全性，实现对信息和用户的权

限划分，达到对广域网上办公信息的流向控制、访问控制。在本系统中，主要实现的

建筑施工；为；米；千米；：各级公安机关的下级机关不能直接访问其上级公安机关

的OA系统。通过防火墙的控制，上下级之间办公信息的交互只能建筑施工；为；米;

千米；两个服务器之间的交互。

各级公安机关与政府专网之间的隔离和访问控制。公安系统有与政府专网的连网需求，我

们可以在公安机关的在主干交换机上划分VLAN可实现不同部门、政府专网之间的隔

离。并采用防火墙系统，利用防火墙和VLAN技术，实现公安系统与政府专网之间强

的访问控制。

实现各级机关局域网不同信任区的隔离与访问控制

在这里主要用防火墙来隔离一个网段与另一个网段。这样，防止影响一个网段的问题穿

过整个网络进行传播。目前可以通过对主干交换机划分VLAN的方式，在各级机关LAN内,

公开服务器区、实时数据中心、服务器区、不同部门子网之间的相互隔离。

整个公安系统广域网络防火墙配置示意图如图6.11所示，对公安部机关局域网和各省

级公安机关网络而言，所有外接的任何专网都建筑施工；为；米；千米；不可信任网络，隔

离不同网络并根据公安系统内部的安全政策来控制（允许、拒绝、监测）出入网络的信息流。

图6.11广域网防火墙

7.1.4选型

省市公安系统需要尽可能使用具有自主知识产权的产品。

通过以上几项技术的综合应用，将构建多层防御体系，使网络的安全系数明显提高。

（1）多级过滤技术

多级过滤建筑施工；为；米；千米；防火墙技术主要功能之一，在这里对防止网络攻

击起到最重要的作用，多级过滤建筑施工；为；米；千米；基本的安全服务，即对主体访问

客体的权限或能力的限制，以及限制进出网络（出入限制）和限制使用网络资源（存取控制1

地址过滤：通过定义源地址、目标地址的过滤规则把来自非法网络和地址主机或发向受

保护主机的数据包拒之门外。

协议与端口过漉:通过定义源、目标地址的协议与端口规则，实现协议与端口过滤。比

如，对ICMP的端口（类型域）进行限制，可以防止有些黑客通过获取网络控制信息探测网

络IP地址与结构信息；对TCP与UDP的端口进行限制，也可关闭或打开某些服务。

过滤网络服务请求

防火墙可以开放对服务器的特定服务（如HTTP、FTP或SMTP等）访问，而拒绝其它应用

的请求，使非法访问在到达主机前被拒绝。

基于操作权限的控制

多数应用通常都设有多种访问权限，如FTP、HTTP等。不同用户登录到主机后所能执行的

操作应该有所限制。一般的用户只能拥有读数据的权利，而无写的权利，即如果一般用户向

服务器发出写操作的请求，该数据包在到达防火墙时，就会遭到拒绝。

（2）状态检测技术

状态检测技术建筑施工；为；米；千米；将所有的OSI分层抽取的包过滤所需的状态相

关信息，维护在动态更新的状态表中，并将这些信息用于在网络层拦截过滤数据包，在基于

规则的检测中，属于同一连接的不同数据包建筑施工；为；米；千米；毫无关系的，状态检

测将属于同一连接的所有包做为一个整体来看待，它不仅检查OSI通讯层的数据，也分析先

前通讯的状态信息，更为重要的建筑施工；为；米；千米；状态检测理解IP协议家族的内

部结构及其上的应用，能从数据包的应用内容中抽取数据作为上下文信息，提供给没有提供

内容信息的应用，防火墙将状态检测模块安装在操作系统的内核，在网络层以下，因此在数

据包到达网关操作系统前，不会被任何更高层协议处理。

（3）安全服务器网络（SSN）技术

SSN建筑施工；为；米；千米；英文SecuritySeverNet的缩写，它建筑施工；为；

米；千米；指防火墙单独提供一个物理接口，来连接由公开服务器或应用服务器组成的网络,

并由防火墙通过访问控制的方法对上述服务器进行保护。SSN建筑施工；为；米；千米；在

DMZ（非军事化区）的基础上提升的一个新的概念。在DMZ的概念下，网络的结构如下：

这种情况下应用服务器或公开服务器不受防火墙的保护。它们的安全主要建筑施工，•为；

米；千米；靠关闭不需要的服务或在操作系统中配置一些访问限制的方法实现，这就建筑施

工；为；米；千米；所谓的堡垒主机。其实堡垒主机就建筑施工；为；米；千米；防线中的

突出部分，建筑施工；为；米；千米；最容易受到攻击的。建立堡垒的目的就建筑施工；为；

米；千米；通过牺牲堡垒来减少敌方对整个防线的攻击，DMZ只建筑施工；为；米；千米；

在内、外部网络网关间存在的一种防火墙方式,一旦DMZ受到破坏，内部网络便暴露与攻

击之下，而SSN在内、外网之间都由防火墙保护，即使受到破坏，内部网仍处于防火墙保

护。SSN的结构如下：

在SSN当中的服务器建筑施工；为；米；千米；受到防火墙的保护的，这样与DMZ比

较至少有如下几个优点：可以避免服务器操作系统本身的安全漏洞带来的安全隐患。可以将

DMZ中基于主机的安全升级为基于网络的安全，通过防火墙的访问控制来实现对服务器的

保护，减少由于堡垒主机因配置的不当而形成的堡垒本身的安全隐患。对于一些应用服务器

这一点尤为重要。

安全服务器网络技术采用分别保护的策略对企业上网的公开服务器实施保护，可以将防

火墙的一个端口配置成SSN,也就建筑施工；为；米；千米；把公开服务器作为一个独立的

网络来处理，公开服务器既建筑施工；为；米；千米；内部网络的一部分，又与内部网络完

全隔离。对SSN上的主机即可单独管理,也可设置成通过FTP、Telnet等方式从内部网络

上管理。

(4)透明接入和NAT技术

为防止网络黑客对端口地址的探测扫描，网络卫士防火墙利用了透明连接技术和NAT

技术，透明连接技术指在防火墙连接端口上不配IP地址，使防火墙在网络中不可探测及访

问，提高防火墙本身的安全性，有效保护受控网络，降低系统登录的安全风险；